Codziennie udostępniamy nasze dane osobowe w Internecie. Tylko w ciągu ostatniej godziny spłaciłem swoją kartę kredytową, kupiłem książkę, zapisałem kopię adresów moich znajomych, wysłałem maile i zrobiłem zakupy spożywcze.

Dzielenie się naszymi informacjami jest tak powszechne, że nie zastanawiamy się nad tym dwa razy.

Tu wchodzi SSL. SSL chroni dane, które udostępniamy online, zapobiegając dostaniu się w niepowołane ręce.

Korzystanie z protokołu SSL – A Z kolei HTTPS – w celu ochrony witryny WordPress i jej odwiedzających nie musi być trudne i skomplikowane. W tym poście przyjrzymy się, czym jest SSL i jak z niego korzystać. Rozwalmy to.

CO TO JEST SSL?

SSL (Secure Socket Layer) rozpoczął jako metoda zwiększania bezpieczeństwa między witryną a jej użytkownikiem końcowym w 1994 roku przez Netscape Communications, ponieważ widzieli potrzebę zwiększenia tej technologii.

The Internet Engineering Task Force (IETF) logo
Internet Engineering Task Force (IETF)

SSL został później poprawiony i wydany po raz pierwszy jako wersja 3.0 w 1996 roku, ale zawierał luki w zabezpieczeniach. Został on oficjalnie przejęty przez Internet Engineering Task Force (IETF) w 1999 roku i został znacznie ulepszony.

W tym momencie SSL został przemianowany na TLS (Transport Layer Security), ale nadal jest powszechnie nazywany SSL lub TLS / SSL. Jego cel pozostaje taki sam do dziś, a technologia stała się standardem bezpieczeństwa witryny.

Kiedy należy używać SSL?

W zeszłym roku Google ogłosiło zwiększenie rankingu wyszukiwania witryn korzystających z protokołu SSL. Z czasem wyszukiwarka planuje zwiększyć ten impuls, ale w międzyczasie zobaczysz tylko około 1% wzrostu, dając każdemu szansę na przełączenie się.

Poza tym, jeśli witryna wymaga od użytkowników zalogowania się lub podania danych osobowych, takich jak imię i nazwisko, adres, dane karty kredytowej itp., potrzebujesz ochrony SSL. Bez tego, informacje użytkownika mogą być łatwo naruszone.

Jak działa SSL?

SSL działa poprzez szyfrowanie informacji przekazywanych między serwerem witryny do przeglądarki, a nie pozostawanie widocznym w postaci zwykłego tekstu, co oznacza, że tekst byłby ułożony w pozornie losowy ciąg nieczytelnych liter i cyfr, a nie w czytelnych dla człowieka słowach.

Aby utworzyć bezpieczne połączenie SSL na stronie internetowej, właściciel witryny musi uzyskać certyfikat SSL od firmy wydającej, zwanej organem certyfikującym. Po zakupie usługi, strona internetowa i dane firmy są przekazywane organowi, takie jak ich nazwa, adres i numer telefonu.

Some of the details needed to register an SSL certificate including address and phone number
To niektóre z informacji wymaganych do rejestracji podstawowego certyfikatu SSL. Inne bezpieczniejsze certyfikaty są bardziej zaangażowane.

Z kolei właściciel witryny otrzymuje klucz publiczny i prywatny. Klucz prywatny nie powinien być nikomu udostępniany – podobnie jak hasło-ale klucz publiczny nie musi pozostać idealnie Ukryty.

Są ciągiem tajemniczych liter i cyfr, które wyraźnie pasują do siebie matematycznie – jak pasujący klucz i Zamek! Są one tworzone przez bezpieczny algorytm Hash.

Klucz publiczny jest następnie przesyłany wraz z wcześniej wprowadzonymi informacjami do urzędu w pliku zwanym żądaniem podpisania certyfikatu.

A public key that looks like a random long block of letters and numbers
Klucze publiczne i prywatne są wprowadzane do WHM (w tym przykładzie) w celu weryfikacji przez urząd certyfikacji.

Urząd weryfikuje informacje, aby upewnić się, że są dokładne – i że nie jesteś oszustem lub hakerem – a jeśli wszystko się potwierdzi, certyfikat SSL jest podpisany za pomocą SHA.

Następnie wydawany jest rzeczywisty certyfikat SSL. Jest to etap, na którym strona internetowa może teraz korzystać z połączenia szyfrowanego SSL.

Gdy użytkownik odwiedza chronioną witrynę, serwer witryny dopasowuje jej certyfikat SSL do klucza prywatnego, a gdy pasuje do siebie, tworzone jest zaszyfrowane połączenie między witryną i jej serwerem, a Użytkownikiem i jego przeglądarką.

Jak wygląda witryna chroniona SSL?

Przedrostek https pojawi się przed adresem URL, a nie domyślnym http. Zauważysz również zieloną kłódkę w polu adresu przeglądarki.

SSL in Google Chrome with a https URL prefix and green padlock
Tak wygląda strona z SSL w przeglądarce Google Chrome. Kłódka różni się w różnych przeglądarkach.

Jeśli witryna zdecydowała się na zakup certyfikatu SSL z rozszerzoną weryfikacją, pasek adresu będzie całkowicie zielony lub przed adresem URL pojawi się nazwa firmy z zielonym tłem.

EV SSL Certificates in Safari use a green front for the company name
Jest to przykład certyfikatu SSL EV w przeglądarce Safari. Pasek adresu nie jest całkowicie zielony, a nazwa firmy nie ma zielonego tła, jak inne przeglądarki, ale zamiast tego używa zielonej czcionki.

Certyfikaty rozszerzonej walidacji zazwyczaj zapewniają większe bezpieczeństwo i są wydawane po przejściu przez firmę bardziej szczegółowego procesu aplikacyjnego. Są proszeni o dostarczenie dowodu ich adresu fizycznego i legalnej działalności poza standardowymi wymaganiami.

Gdy SSL przestaje działać

Jeśli certyfikat SSL wygasł, jest podpisany samodzielnie lub staje się nieważny, kłódka zmienia kolor na czerwony i czasami przechodzi przez nią również linia.

An example of a browser warning of an invalid SSL certificate before going to site.
Większość przeglądarek uruchomi Stronę ostrzegającą przed nieprawidłowymi certyfikatami SSL, zanim przejdziesz do niezaufanej witryny.

Po wygaśnięciu certyfikatu właściciel witryny musi po prostu odnowić swój SSL za pośrednictwem swojego upoważnienia, a szyfrowanie zostanie odnowione. Najlepiej nie dopuścić do ich wygaśnięcia, aby Bezpieczeństwo witryny było bezproblemowe.

Korzystasz z certyfikatu z podpisem własnym, jeśli złożyłeś wniosek i wystawiłeś własny certyfikat SSL, a nie przeszedłeś przez urząd certyfikacji w celu weryfikacji Ciebie lub Twojego certyfikatu.

Większość przeglądarek ufa tylko certyfikatom SSL wydawanym przez zaufane urzędy certyfikacji i wyświetli ostrzeżenie dla wszystkich witryn korzystających z certyfikatu z podpisem własnym. Jeśli kupiłeś certyfikat SSL od firmy, która nie jest urzędem certyfikującym wysokiej rangi, Twoja witryna może nadal być rozpoznawana jako korzystająca z certyfikatu z podpisem własnym.

A browser warning of an expired SSL certificate before proceeding to site.
Większość przeglądarek ostrzega również, gdy certyfikat SSL witryny wygasł, przed przejściem do niezabezpieczonej witryny.

Certyfikat SSL może stać się nieważny z wielu innych powodów, na przykład jeśli szyfrowanie SHA jest nieaktualne.

Haszowanie jest konwersją wielu informacji zapisanych jako znaki na krótszy Rozmiar, często określany jako klucz i odbywa się za pomocą zestawu reguł matematycznych, które są stosowane. Wraz z postępem technologicznym konieczne jest silniejsze hashowanie, aby utrzymać silne bezpieczeństwo.

SHA0 nie jest już używany, a SHA1 jest stopniowo wycofywany przez wiele przeglądarek, w tym Internet Explorer. Chrome zacznie wydawać ostrzeżenia od 1 stycznia 2016 r.dla witryn, które nadal używają SHA1. Obecnie standardem szyfrowania jest SHA2, który ostatecznie zostanie wycofany na rzecz SHA3.

Certyfikat SSL może również wydawać się nieprawidłowy, jeśli przeglądarka nie może go zweryfikować z urzędem. Może się to zdarzyć, jeśli nazwa domeny certyfikatu nie pasuje do rzeczywistej witryny, która go używa.

Najlepszym sposobem rozwiązania tych problemów jest zaktualizowanie certyfikatu SSL u swojego organu i postępowanie zgodnie z jego instrukcjami.

A yellow yield sign appears in the address bar for sites with an insecure SSL certificate
Jedna z moich witryn ma obrazy, które są nadal połączone pod prefiksem http, więc certyfikat SSL nie jest całkowicie bezpieczny. Pasek adresu pokazuje żółty znak wydajności w przeglądarce Chrome.

Jeśli pojawi się żółta kłódka ze znakiem mini yield, prawdopodobną przyczyną są linki w Twojej witrynie nadal odnoszą się do niezabezpieczonej strony. Upewnij się, że wszystkie obrazy, elementy menu i linki są używane https w adresie URL.

Aby łatwo znaleźć źródło nieprawidłowego certyfikatu, możesz użyć bezpłatnego narzędzia dlaczego nie ma kłódki. Natychmiast informuje o konkretnym problemie, w tym nieprawidłowych obrazów i skryptów.

Korzystanie z SSL z WordPress

Po przygotowaniu certyfikatu SSL możesz go używać w swojej witrynie WordPress.

Nie zapomnij wykonać kopii zapasowej całej witryny przed wprowadzeniem jakichkolwiek zmian, aby zapobiec utracie wszystkiego, jeśli coś pójdzie nie tak. Kiedy to zrobisz, możesz kontynuować.

Aby skonfigurować SSL zarówno w instalacji pojedynczej, jak i wielostanowiskowej, najpierw edytuj wp-config.php plik i dodaj następujący wiersz kodu. Wymusi zarówno loginy i dostęp do obszaru administracyjnego WordPress, aby korzystać z SSL:

Ładowanie gist/78c784c6818cf563fb75

Po prostu upewnij się, że jest umieszczony nad linią “zatrzymaj edycję”, jak pokazano poniżej:

Ładowanie gist / cd3e732352fb0c68fd9e

Teraz ustawimy przekierowanie 301, aby każdy, kto odwiedza Twoją witrynę, był automatycznie przekierowywany na Twoją bezpieczną witrynę za pomocą https zamiast http.

Edytuj swój .htaccess plik, lub utwórz nowy, jeśli jeszcze nie istnieje. Jeśli już go posiadasz, umieść poniższy kod nad wszystkim, co już tam jest.

Nie zapomnij wymienić “mysite.com” z domeną i upewnij się, że wpisujesz właściwy port serwera, jeśli twój nie ma 80.

Wczytywanie gist/8a6ab1b68d0f9a5674d8

Teraz odwiedź swoją witrynę, aby ją przetestować. Jeśli https pojawia się w twoim adresie URL z zieloną kłódką obok, którą możesz ustawić.

Wniosek

Posiadanie certyfikatu SSL dla witryny jest niezbędnym krokiem w ochronie witryny i jej odwiedzających, ale nie jest to jedyny środek bezpieczeństwa, który powinieneś rozważyć. Aby dodatkowo zapewnić, że Twoja witryna jest bezpieczna dla wszystkich, Możesz również użyć wtyczki zabezpieczającej WordPress, takiej jak Wordfence lub iThemes.

Jeśli potrzebujesz więcej wskazówek na temat korzystania z protokołu SSL w WordPress dla swoich konkretnych potrzeb, możesz sprawdzić stronę Administracja nad SSL w Kodeksie WordPress.

Interesuje Cię darmowy certyfikat SSL? W listopadzie 18, 2014, Electronic Frontier Foundation (EFF) opublikował ogłoszenie, że pracują nad projektem opensource, aby certyfikaty SSL były bezpłatne i z możliwością ich instalacji za pomocą zaledwie kilku kliknięć. Będzie on dostępny w połowie 2015 roku.

Istnieją wtyczki, które mogą pomóc w skonfigurowaniu protokołu SSL w Twojej witrynie, ale pamiętaj, że mogą one nie być aktualne i kompatybilne z najnowszą wersją WordPress.

Czasami korzystanie z nieco starszych wtyczek może być w porządku, jeśli Wiele osób, w tym ty, odniosło z nimi sukces podczas testowania, ale bezpieczeństwo Twojej witryny nie jest czymś, na co chcesz ryzykować.

Jeśli chcesz uzyskać jeszcze więcej szczegółowych informacji na temat bezpieczeństwa witryny, zapoznaj się również z innymi szczegółowymi postami WordPress Security Essentials: Pożegnaj się z hakerami i WordPress Security: najlepszy przewodnik.

Z biegiem czasu pojawia się coraz więcej powodów, aby zabezpieczyć swoją witrynę za pomocą protokołu SSL. Jakie są Twoje? Daj mi znać w komentarzach poniżej.

Autor zdjęć: IETF Trust, DigitalOcean, Bruno Pedro.

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

9 Najlepsze Darmowe Wtyczki WordPress Author Bio Box

W artykule: 1. Simple Author Box2. Branda3. Autor postu WP4. Author Bio…